En matière de chasse aux bugs de sécurité, la valeur n'attend pas le nombre des années. À l'heure de fêter le premier anniversaire de son Bug Bounty Program, PayPal a fini par le comprendre et veux aussi récompenser les dénicheurs de vulnérabilités encore adolescents. Désormais, des jeunes chercheurs mineurs âgés de 14 ans et plus peuvent participer et pourront le cas échéant recevoir un paiement.

PayPal n'entre pas dans les détails et les termes du programmes ne sont pas très explicites. Selon les informations obtenues par Computerworld, la transaction s'effectuera grâce à un compte PayPal étudiant où un mineur peut recevoir des paiements via le compte de ses parents. A priori, un compte PayPal étudiant ne concerne cependant que les États-Unis.

En mai dernier, un étudiant allemand âgé de 17 ans avait rapporté une vulnérabilité de type cross-site scripting à PayPal en contribuant à son Bug Bounty Program. Il n'a pas été récompensé dans la mesure où la faille avait déjà été découverte par d'autres chercheurs.

Le cas de Robert Kugler a toutefois donné lieu à un couac de communication. PayPal lui a en effet surtout fait comprendre qu'il était trop jeune pour toucher une récompense. Il avait alors décidé de rendre publique la faille tout en soulignant que Mozilla l'avait déjà récompensé pour le rapport de plusieurs bug de sécurité.

Le blog Naked Security de Sophos avait compilé quelques exemples d'adolescents ayant été récompensés dans le cadre de Bug Bounty Programs, parfois avec l'aval de leurs parents. Un enfant de 12 ans pour Mozilla ou encore un adolescent pour des failles dans Google Chrome.

Pour PayPal, la grille des primes est la suivante :

PayPal-bug-bounty-program